Fatal编程技术网
  • php/
  • PHPMailer安全吗

PHPMailer安全吗

php

PHPMailer安全吗,php,phpmailer,Php,Phpmailer,我知道这可能不是一个简单的问题,但我正在开发几个webforms,希望有一个PHP库,可以用来发送邮件,并让它自动清理数据。我在看PHPMailer,它看起来很容易安装 PHPMailer是否是一个安全的库,用于防止我的表单受到SQL注入/电子邮件注入/XSS等的影响?我知道没有任何东西是100%安全的,但我正在寻找一个无需清理数据即可使用的简单脚本。PHPMailer本身不创建/使用任何SQL,也与javascript无关,因此它在这些方面是安全的。它通常与同时执行这两种操作的代码一起使用,但

我知道这可能不是一个简单的问题,但我正在开发几个webforms,希望有一个PHP库,可以用来发送邮件,并让它自动清理数据。我在看PHPMailer,它看起来很容易安装

PHPMailer是否是一个安全的库,用于防止我的表单受到SQL注入/电子邮件注入/XSS等的影响?我知道没有任何东西是100%安全的,但我正在寻找一个无需清理数据即可使用的简单脚本。

PHPMailer本身不创建/使用任何SQL,也与javascript无关,因此它在这些方面是安全的。它通常与同时执行这两种操作的代码一起使用,但这不是PHPMailer所关心的

它对报头应用过滤以避免报头注入攻击,并且(据我所知!)正确构建报头以根据RFC进行转义和编码-通常PHP编译器在实际情况下支持严格的技术遵从性。有一个与线路长度合规性相关的未决问题

如果使用默认设置运行PHP5.6,它将验证安全连接上的SSL/TLS证书。早期的PHP版本在默认情况下不这样做,您可以在PHP5.6中禁用它,尽管这两个版本都不推荐。在早期PHP版本中强制此设置存在一个公开问题

综上所述,当然PHPMailer(像任何技术库一样)可以被滥用来发送各种恶劣的网络钓鱼、垃圾邮件和恶意软件,SMTP类可以用来尝试混淆该死的邮件服务器,尽管它将尽最大努力确保它在最大程度上尊重RFC。

PHPMailer本身不创建/使用任何SQL,也不使用javascript,因此它在这些方面是安全的。它通常与同时执行这两种操作的代码一起使用,但这不是PHPMailer所关心的

它对报头应用过滤以避免报头注入攻击,并且(据我所知!)正确构建报头以根据RFC进行转义和编码-通常PHP编译器在实际情况下支持严格的技术遵从性。有一个与线路长度合规性相关的未决问题

如果使用默认设置运行PHP5.6,它将验证安全连接上的SSL/TLS证书。早期的PHP版本在默认情况下不这样做,您可以在PHP5.6中禁用它,尽管这两个版本都不推荐。在早期PHP版本中强制此设置存在一个公开问题

综上所述,当然PHPMailer(像任何技术库一样)可以被滥用来发送各种恶劣的网络钓鱼、垃圾邮件和恶意软件,SMTP类可以用来尝试混淆该死的邮件服务器,尽管它将尽最大努力确保在最大程度上尊重RFC。

到目前为止,强烈建议为5.2.18之前的版本提供漏洞修补程序 在这里下载

Hacker News()的引文给出了一个简短的总结:

由波兰安全研究员Dawid Golunski发现 黑客,严重漏洞(CVE-2016-10033)允许 攻击者可在web上下文中远程执行任意代码 服务器并破坏目标web应用程序

“要利用此漏洞,攻击者可以将常见网站组件作为攻击目标,例如 作为联系人/反馈表、登记表、密码电子邮件重置 还有一些人借助易受攻击的版本发送电子邮件 Golunski在发表的咨询报告中写道 今天

技术详细信息将发布在此处:

目前,强烈推荐5.2.18之前版本的漏洞修补程序 在这里下载

Hacker News()的引文给出了一个简短的总结:

由波兰安全研究员Dawid Golunski发现 黑客,严重漏洞(CVE-2016-10033)允许 攻击者可在web上下文中远程执行任意代码 服务器并破坏目标web应用程序

“要利用此漏洞,攻击者可以将常见网站组件作为攻击目标,例如 作为联系人/反馈表、登记表、密码电子邮件重置 还有一些人借助易受攻击的版本发送电子邮件 Golunski在发表的咨询报告中写道 今天

技术细节将发布在此处:

这取决于此电子邮件的显示位置。你应该只允许纯文本邮件(我个人认为,我讨厌html邮件)。更重要的是,您不允许垃圾邮件滥用您的前端作为垃圾邮件网关,因此只允许例如每IP/cookie/每分钟发送一封邮件。。。并且没有任意的接收者。如果你的cms在这个日期使用你的phpMail,立即禁用它,直到安全补丁还没有发布:这取决于这封电子邮件将显示在哪里。你应该只允许纯文本邮件(我个人认为,我讨厌html邮件)。更重要的是,您不允许垃圾邮件滥用您的前端作为垃圾邮件网关,因此只允许例如每IP/cookie/每分钟发送一封邮件。。。并且没有任意接收器。如果您的cms在此日期使用PHP编译器,请立即禁用它,直到安全补丁尚未发布:谢谢您提供的信息。我不确定SQL注入是否仍然是我应该关心的事情(例如,黑客是否能够猜到db用户名/密码并输入正确的代码来建立数据库连接)。我得到的印象是,PHPMailer在确保事情得以逃脱和处理头部注射方面做得很好,但我只是想得到另一个意见。再次感谢。如果用户猜到了DB用户名和密码,注入将是您最不担心的。您可以使用一些第三方软件建立数据库连接。谢谢您提供的信息。我不确定SQL注入是否仍然应该引起我的关注(例如,黑客是否能够猜到db用户名/密码和inpu)